GodDamn: новая версия вымогателя Hyadina с BYOVD-атаками

В начале лета 2026 года ландшафт киберугроз пополнился новой изощренной версией ransomware, получившей название GodDamn. За этим вредоносным инструментом стоит группировка Hyadina — разработчик, последовательно модернизирующий свой арсенал с 2022 года. Специалисты Symantec детально проанализировали атаку GodDamn, раскрыв высокий уровень технической подготовки злоумышленников, которые отошли от массового шифрования в пользу многоэтапной, тщательно выверенной операции. Данный отчет описывает эволюцию группировки, уникальные техники обхода и методичный подход к проникновению в инфраструктуру жертвы.

Эволюция угрозы: от Monster к GodDamn

Группировка Hyadina впервые заявила о себе в 2022 году семейством ransomware Monster. Изначально вредоносные кампании были ограничены системами Windows и включали географические фильтры при выборе целей. Следующая итерация, Beast, ознаменовала расширение операционного охвата: арсенал пополнился сборками для Linux и VMware ESXi, что позволило атаковать виртуализированные среды. GodDamn, чье первое появление зафиксировано 21 мая 2026 года, представляет собой логическое продолжение этой эволюции. Анализ кода выявил значительное совпадение с Beast, однако GodDamn интегрирует более агрессивные и сложные тактики как на этапе доставки, так и при закреплении в системе.

Анатомия атаки

Атака, проанализированная Symantec и произошедшая в начале июня 2026 года, сочетала скрытность с мощными механизмами обхода. Ключевые компоненты включали использование AnyDesk для удаленного доступа и специализированный инструментарий для сбора credentials на базе NirSoft. Злоумышленники действовали методично, предпочитая ручное управление на критических этапах автоматическому распространению.

Особого внимания заслуживает примененный метод отключения средств защиты. Атакующие развернули инструмент обхода защиты в пользовательском режиме, замаскированный под легитимный продукт Symantec. В связке с ним использовалась одна из самых опасных техник последних лет — атака типа bring-your-own-vulnerable-driver (BYOVD) с применением драйвера ядра PoisonX. Этот драйвер, впервые задокументированный в начале 2026 года, способен завершать процессы безопасности на уровне ядра. PoisonX имеет подпись Microsoft, что обеспечивает злоумышленникам дополнительное преимущество: эксплуатируется доверие к легитимно подписанным драйверам, позволяя обходить защитные барьеры операционной системы практически незаметно. Такой продвинутый подход подчеркивает глубокое понимание внутреннего устройства защитных решений и демонстрирует приверженность группы развитию технологии вымогательства.

Хронология компрометации

Схема атаки показывает намеренную задержку между вторжением и шифрованием. Операторы действовали по следующему сценарию:

  • 29 мая 2026 года: обнаружена скрытая установка AnyDesk в нестандартных директориях на хостах. Зафиксированы исходящие соединения с инфраструктурой ретрансляции AnyDesk, что свидетельствовало о передаче управления.
  • Этап разведки и сбора: вредоносная операция перешла в фазу сбора credentials. Инструменты, способные извлекать учетные данные, применялись к браузерам и почтовым клиентам.
  • Lateral movement: с использованием PsExec злоумышленники начали методичное перемещение по сети, заражая дополнительные системы перед финальным ударом. Такая подготовка указывает на стремление максимизировать ущерб и охватить критически важные узлы.
  • 3 июня 2026 года: произведен запуск вредоносного payload. Malicious executable преимущественно размещался в директориях профилей пользователей. Промежуток между первоначальным доступом и активацией, вероятно, объясняется эксфильтрацией данных или тщательной разведкой.

Финал: шифрование и идентификаторы

Жертвы GodDamn ransomware отмечали характерную картину шифрования файлов. Зашифрованные данные получали уникальное расширение .God8Damn. В ряде случаев в качестве расширения добавлялось название организации жертвы, что может использоваться как дополнительный маркер в переговорах о выкупе. Такая деталь указывает на кастомизацию атаки под конкретную цель и ручное управление финальной стадией, что является типичным поведением для операторов Hyadina.

Переход к GodDamn подтверждает приверженность группы совершенствованию своих тактик и инструментов. Сочетание BYOVD-атаки с PoisonX, костюмирование вредоносного ПО под легитимный софт и применение скрытых каналов управления через AnyDesk превращают эту угрозу в серьезный вызов для корпоративных систем защиты. Эволюция от Monster к GodDamn наглядно демонстрирует, как операторы ransomware экосистемы повышают ставки, делая каждую последующую итерацию своих инструментов более сложной, скрытной и разрушительной.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: